Zaščita podatkov o strankah v e-trgovini: skladnost z GDPR

Uvod

Zaščita podatkov o strankah je pomembno strateško vprašanje za vsakega igralca v e-trgovini. Od začetka veljavnosti Splošne uredbe o varstvu podatkov (GDPR) 25. maja 2018 morajo trgovska spletna mesta, mobilne prodajne aplikacije in tržnice spoštovati strog pravni okvir pod kaznijo do 20 milijonov evrov ali 4 % letnega svetovnega prometa. Poleg regulativnih omejitev skladnost z GDPR predstavlja pravi vzvod zaupanja strank: 87 % evropskih potrošnikov pravi, da ne bodo kupovali na spletnem mestu, kjer dvomijo o varnosti podatkov. Ta članek o stebru podrobno opisuje konkretne obveznosti e-trgovcev na drobno glede soglasja, piškotkov, glasil in varnosti plačilnih podatkov.

Privolitev: temelj skladnosti z GDPR

Privolitev predstavlja eno od šestih pravnih podlag za obdelavo, ki jih določa 6. člen GDPR. Da bi bil veljaven, mora izpolnjevati štiri kumulativna merila, opredeljena v členu 7: biti brezplačen, specifičen, informiran in nedvoumen. V kontekstu e-poslovanja to pomeni, da internetni uporabnik svoje privolitve ne more pogojevati z nakupom izdelka (načelo svobode) in da mora imeti možnost privolitve za vsak namen posebej (marketinško profiliranje, deljenje s partnerji, glasilo itd.).

CNIL je od leta 2020 s svojimi smernicami glede piškotkov in sledilnikov znatno okrepil svoje zahteve. Gumb »Sprejmi vse« mora zdaj spremljati gumb »Zavrni vse« z enakovredno dostopnostjo in vidnostjo. Vnaprej potrjena polja so strogo prepovedana (sodba CJEU Planet49, 1. oktober 2019). E-trgovci morajo med trajanjem obdelave hraniti tudi dokazilo o soglasju s časovnim žigom in omogočiti umik tako preprosto kot prvotna odobritev.

Upravljanje piškotkov in sledilnikov na spletnih mestih trgovcev

Spletna mesta za e-trgovino uporabljajo v povprečju 40 do 60 piškotkov tretjih oseb: analitika, ponovno ciljanje oglaševanja, socialna omrežja, chatboti, A/B testiranje. 82. člen spremenjenega zakona o varstvu podatkov zahteva predhodno soglasje za vsak sledilnik, ki ni nujno potreben za delovanje storitve. Izvzeti so le piškotki nakupovalnega vozička, seje preverjanja pristnosti in uravnoteženja obremenitve.

Nastavitev skladne platforme za upravljanje privolitve (CMP) je postala nujna. Obiskovalcu mora omogočiti natančnost pri izbiri: sprejemanje po namenu (merjenje občinstva, personalizacija, ciljano oglaševanje) in po prejemniku. Sankcije kar dežujejo: Google (150 milijonov evrov), Amazon (35 milijonov evrov), Facebook (60 milijonov evrov) leta 2022 zaradi pomanjkanja gumba za zavrnitev, ki bi bil tako dostopen kot gumb za sprejem.

Glasilo in komercialno iskanje: stroga prijava

Pošiljanje glasil in promocijske e-pošte spada pod člen L.34-5 Zakonika o poštnih in elektronskih komunikacijah, ki prenaša direktivo o e-zasebnosti. Načelo je izrecna predhodna privolitev za posamezne potencialne stranke (B2C). Opazna izjema obstaja za stranke, ki so že opravile nakup: iskanje je dovoljeno za podobne izdelke ali storitve, pod pogojem, da so bili obveščeni med prevzemom in lahko ugovarjajo vsaki pošiljki.

Natančneje, polje »Želim prejemati komercialne ponudbe [blagovne znamke]« mora biti privzeto odkljukano in ločeno od sprejemanja pogojev in pogojev. Vsako elektronsko sporočilo mora vsebovati delujočo povezavo za odjavo z enim klikom, identiteto pošiljatelja in veljaven kontaktni naslov.

Zaščita plačilnih podatkov

Obdelava bančnih podatkov spada tako v GDPR (32. člen o varnosti) kot v standard PCI-DSS (Payment Card Industry Data Security Standard). E-trgovci bi morali dati prednost tokenizaciji prek certificiranega ponudnika plačilnih storitev (PSP) ravni 1 PCI-DSS in se tako izogniti neposrednemu shranjevanju številk kartic. Močna avtentikacija (3D Secure v2) je obvezna od 15. maja 2021 pri uporabi direktive DSP2.

Hranjenje vizualnega kriptograma (CVV) je po transakciji strogo prepovedano. Številke kartic se lahko hranijo samo z izrecnim soglasjem, da se olajšajo kasnejši nakupi (CNIL posvet št. 2018-303).

Zaključek

Skladnost z GDPR v e-trgovini ni le pravni kontrolni seznam: strukturira celoten digitalni odnos s strankami. Med podrobnim soglasjem, upravljanjem piškotkov, natančnostjo pri iskanju in varnimi plačili morajo e-trgovci pri načrtovanju svojih potovanj sprejeti pristop »zasebnosti že pri oblikovanju«. Ta pristop, ki še zdaleč ni komercialna ovira, postane razlikovalni argument na trgu, kjer digitalno zaupanje pogojuje stopnjo konverzije in zvestobo.